Das Schlapphut-Bit

Geheimdienste sparen mit Methoden aus der Internet-Steinzeit

Wissen | Reportage

In der Finanzkrise müssen auch die Geheimdienste sparen. Um die mitzuschneidende Datenmenge zu verringern, greifen sie auf Techniken aus der Frühzeit des Internet zurück.

Die Finanzkrise trifft die Industrienationen schwer und sie müssen Milliarden zum Stützen defizitärer "Old Economy" ausgeben. Bei der Bildung und im Sozialbereich gibt es kaum noch etwas zu sparen und so trifft es nun sogar staatliche Kernaufgaben wie die Geheimdienste. Ihnen war es gelungen, den größten Teil der Budgets aus dem Kalten Krieg zu retten, doch nun regiert auch in diesem Schattenreich der Rotstift.

Ein gigantischer Kostenblock ist die Überwachung des Internet. Dass man "das Internet" nicht mal eben herunterladen kann, weil es nirgends genug Festplattenplatz gibt, ist inzwischen auch dem technikfernsten Vorgesetzten klar. Doch was die Geheimdienste zu leisten haben, geht weit darüber hinaus: Schließlich müssen sie nicht nur die angebotenen Seiten archivieren, sondern auch alle Zugriffe protokollieren.

Dabei fallen riesige Datenmengen an, die irgendwo gespeichert und ausgewertet werden müssen. Es lassen sich aber ganz erheblich Kosten sparen, wenn nicht jeder Geheimdienst einzeln dieselbe Arbeit macht, sondern sich nur auf die Daten konzentriert, die noch kein anderer Dienst mitgeschnitten hat. Damit das reibungslos klappt und trotzdem kein staatsgefährdendes Datenpaket unentdeckt bleibt, bedienen sich die Geheimdienstler einer Technik, die aus der Zeit stammt, als das Internet noch ARPAnet hieß...

Bekanntermaßen beruht unser heutiges Internet auf dem ARPAnet, das die namengebende Advanced Research Projects Agency entwickeln ließ, das Forschungsamt des amerikanischen Verteidigungsministeriums (DoD, Department of Defense). Und es ist schon eine reichlich naive Vorstellung, dass ausgerechnet bei dieser militärischen Erfindung nicht auch die Geheimdienste von Anfang an ihre Finger (oder besser Ohren) mit im Spiel gehabt haben sollen.

Doch da die Techniken des Internet in den RFCs festgehalten sind, findet der aufmerksame Leser schnell Hinweise, zuerst im Internet Protocol, das in seiner ersten Fassung sogar ausdrücklich als "DoD Standard" gekennzeichnet ist. Schon in der nächsten Fassung des RFC 1981 verschwindet dieser Hinweis, doch dafür taucht etwas noch viel Verdächtigeres auf: Die Bits 6 und 7 im Feld "Type Of Service" des IP-Headers, die zuvor benutzt waren, sind plötzlich "Reserved for Future Use", also für die spätere Verwendung reserviert. Und das in einer Zeit, in der wegen der extrem geringen Bandbreiten jedes Bit kostbar war. Den "Fragment Offset" quetscht der Standard in krumme 13 Bit; aber diese beiden Bits sollen brachliegen? Sehr unwahrscheinlich.

Doch im Zusammenhang mit dem 30. Geburtstag von RFC 1 im Jahr 1999 muss das jemandem aufgefallen sein. Denn plötzlich erscheint im RFC2481 eine Legende, die dem Bit eine unverfängliche Funktion zu geben scheint: Es soll für die "Explicit Congestion Notification" (ECN) Bit stehen, das ein Router angeblich in den Paketen setzt, um mitzuteilen, dass er überlastet ist (congestion=Verstopfung).

Es musste wohl sehr schnell gehen, denn diese Tarnmäntelchen ist mit sehr heißer Nadel gestrickt: Erstens gibt es schon fast genauso lange wie das Internet Protocol auch das Internet Control Message Protocol (ICMP) und darin die "Source Quench Message", die genau demselben Zweck dient. Warum also sollte man also eins der beiden kostbaren Bits im Header für diese redundante Information verschwenden? Außerdem stimmt die Logik gar nicht: Wenn ein Router merkt, dass seine Weiterleitungskapazität erreicht ist, müsste er das dem Host mitteilen, von dem der Verkehr kommt. Stattdessen setzt er angeblich das ECN-Bit, um dem Ziel mitzuteilen, dass er von einer Quelle überfordert wird – allzu fadenscheinig.

Doch welche Funktion haben die Geheimdienste dem Bit wirklich zugedacht? Die Recherche zum bevorstehenden 40. Geburtstag der RFCs brachte uns der Lösung näher. Denn dabei fiel auf, dass in der nummerischen Reihe der RFCs Lücken klaffen. Da sind einerseits die 86, die als "Not Issued" geführt werden, beginnend mit RFC 14. Hier gibt es jeweils gute redaktionelle Gründe für die Nicht-Veröffentlichung.

Aber warum versucht man zusätzlich, einige RFCs ganz zu verbergen, wie etwa den RFC 8? Diese Phantom-RFCs sind nirgends online verfügbar, tauchen aber auch nicht als "Not Issued" in den Übersichten auf – das muss äußerst brisantes Material sein. Durch intensive journalistische Recherche lassen sich zumindest die Titel und angeblichen Autoren der Phantom-RFCs ermitteln.

Besondere Aufmerksamkeit zieht RFC 500 aus dem Jahr 1973 auf sich. Er trägt den verfänglichen Titel "Integration of data management systems on a computer network". Da beschreibt also ein sorgsam verheimlichter Text, wie Systeme ins Computernetz integriert werden, die dem "Datenmanagement" dienen. Eine Flusssteuerung des minimalen Datenverkehrs im Jahre 1973 kann wohl kaum gemeint sein. Viel wahrscheinlicher sollen da die Daten aus dem Netzwerk zu einem Geheimdienstler "gemanagt" werden. Auffälligerweise tauchen die beiden angeblichen Autorennamen A. Shoshani und I. Spiegler auch nur im Zusammenhang mit dem Phantom-RFC 500 auf: Google-Suche nach den Namen.

Auf dieser Festplatte befanden sich Informationen zum Phantom-RFC 500.

Bei der Suche nach einem Ausdruck des Phantom-RFC kamen uns die Schlapphüte offenbar noch zuvor. Doch als dem britischen Geheimdienst wieder ein Fehlerchen bei der Entsorgung alter Festplatten unterlief, kamen wir endgültig hinter die Bedeutung des ominösen Bit.

Intern trägt es den Namen HBT-Bit für Has Been Tapped (to tap=abhören). Wenn ein Geheimdienst das Datenpaket erfasst hat, setzt sein "Datenmanagement" das Bit und teilt so den anderen mit, dass die Arbeit schon getan ist.

Offenbar nutzen die Dienste nun dieses Verfahren um die mitzuschnüffelnde Datenmenge und damit die Kosten zu begrenzen. Jedenfalls tauchen mit zunehmendem Internet-Verkehr auch immer mehr Pakete auf, bei denen das angebliche ECN-Bit gesetzt ist. Dass die Geheimen ihre Spuren dabei äußerst aufmerksam verwischen, zeigt eine einfache Google-Suche nach dem Has Been Tapped Bit – kein einziger Treffer!

Das Konzept stammt ganz offensichtlich aus dem Kalten Krieg, als die Welt sehr einfach in befreundete Dienste und Gegner eingeteilt werden konnte. Damals reichte ein Bit, das anzeigt, dass schon jemand die Daten ausgewertet hatte. Man kannte sich in dieser übersichtlichen Welt und wer das war, ließ sich im Zweifel mit einigen Telefonanrufen klären – bei befreundeten Diensten, beim "Wirtschafts"-Attaché der russischen Botschaft oder einfach bei irgendwem; die richtigen Ansprechpartner waren ohnehin mit in der Leitung.

In der unübersichtlichen Geheimdienstwelt nach dem Kalten Krieg reicht ein einzelnes Bit nicht mehr aus. Doch auch hier wird IPv6 mit mehr Platz im Header für Entspannung sorgen. Wie das genau geschehen wird, konnten wir noch nicht herausfinden. Aber es ist schon mehr als auffällig, dass ein einziges Mal die Regierungen wesentlich mehr Interesse an einer neuen Technik zeigen als die IT-Wirtschaft.

Es erscheint ganz einfach, den eigenen Datenverkehr unbelauscht durchs Netz zu schicken: Wenn man schon beim Absenden eines Pakets das HBT-Bit setzt, sollte es doch dem "Datenmanagement" entgehen. Auf die Idee sind schon vor Jahren Linux-Anwender gekommen. Der Kernel unterstützt schon lange das "ECN"-Bit. Doch wenn man es einfach aktiviert, unterbinden plötzlich "Firewalls" im Internet die Verbindung.

Auf den zweiten Blick ist das ganz logisch. Denn schon beim TCP-Verbindungsaufbau (Three-Way-Handshake) tauschen Client und Server mehrere Pakete aus, bevor die ersten Nutzdaten über die Leitung gehen. Wenn der Client dabei das HBT-Bit setzt, erscheinen seine Pakete dem "Datenmanagement" als schon abgehört. Doch auf das HBT-Bit des Servers hat der Client keinen Einfluss. Wenn also sämtliche Pakete in der einen Richtung mit HBT-Bit kommen und sämtliche Antworten ohne, erkennt das "Datenmanagement-System" gerade an diesem Unterschied, dass auf Client-Seite ein Neunmalkluger versucht, der Überwachung zu entgehen. Früher reagierten die Dienste darauf offenbar mit einer Sperre der Verbindung, heute scheinen sie subtiler vorzugehen. Jedenfalls ist des Selber-Setzen des HBT-Bits eine sichere Methode, die Schlapphüte auf sich aufmerksam zu machen.

Deshalb haben wir auch die Arbeiten an einem Windows-Treiber eingestellt, der das HBT-Bit setzt. Es gibt ja auch viele Vermutungen, dass die Überwachung mit dem Redmonder Betriebssystem eng verzahnt ist. Wohl kaum ein Anwender weiß, was das Progamm nbtstat.exe tut, dass sich im Windows-Verzeichnis jedes moderneren Systems findet. Dabei weist der Name doch sehr deutlich auf eine Statistik des noch nicht überwachten Verkehrs hin (Not Been Tapped).

Unsere freie Recherche hat bislang weng bekannte Fakten über RFCs und das Netz zu Tage gebracht. Sollten sich bezüglich der erweiterten Möglichkeiten von IPv6 oder Methoden der Umgehung neue Erkenntnisse ergeben, werden wir Sie selbstverständlich auf dem Laufenden halten.

Kommentare

Kommentare lesen (101 Beiträge)

Anzeige